清明小长假倒计时!
挖蛙的踏青计划表已经写满
追春风、放纸鸢、啃青团……
但总感觉少了点什么?
哦对!差点忘了带上蛙的新伙伴
TA不仅会写诗、画图、剪视频
还能用AI一眼看穿代码里的“小心思”
没错——
阶跃星辰安全应急响应中心
正式入驻漏洞盒子啦!
即日起
阶跃星辰SRC欢迎广大白帽积极反馈安全漏洞
携手阶跃星辰,安全跃向未来
01
关于阶跃星辰
阶跃星辰以“智能阶跃,十倍每一个人的可能”为使命,专注于多模态大模型研发与通用人工智能(AGI)探索。依托Step系列千亿至万亿参数规模大模型矩阵,覆盖语音、图像、视频等多模态生成与理解,阶跃星辰已推出“阶跃AI”智能助手,并在智能汽车、手机终端、IoT设备等领域与吉利汽车、OPPO等头部企业达成深度合作,推动AI技术融合与产业升级。
阶跃星辰安全应急响应中心(Stepfun Security Response Center)非常欢迎广大白帽子向我们提交公司产品和业务的安全漏洞,以帮助我们提升产品和业务的安全性。
02
漏洞奖励计划
01
漏洞提交地址
02
漏洞奖励计划
严重:¥ 400-6000
高危:¥ 200-2000
中危:¥ 40-600
低危:¥ 20-120
03
漏洞测试范围
核心系统:
*.stepfun.com(platform.stepfun.com除外)
核心的IT或运营系统
阶跃ai相关app,小程序等
*详见阶跃星辰SRC页面公告
04
漏洞注意事项
1.以测试漏洞为借口,利用漏洞进行以下行为的,不适用于本项目,同时厂商保留采取进一步法律行动的权利。
- 利用越权或SQL注入等可以获取敏感数据的漏洞,批量获取10条以上数据;
- 损害用户利益、盗取用户数据;
- 未经厂商授权、在厂商完成修复前传播漏洞细节;
- 使用高并发测试/CC攻击/DDoS攻击等影响厂商业务正常运行;
- 突破网络边界后进行内网渗透;
- 发动社会工程攻击。
2.撞洞说明:
- 同一漏洞定义:同一个漏洞源产生的多个漏洞算同一个漏洞。如:全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一文件在不同目录、不同版本的同一漏洞、同一微服务部署在不同域名下等。
- 原则上以提交时间作为漏洞接收顺序,多人同时提交内容一致的报告,以第一个提交者为准,且只收录一次。
3.内容安全相关问题不适用于本项目。
4.越权相关漏洞,请尽量提供测试账号,因测试账号导致无法复现的漏洞将会被忽略;登录后台相关的漏洞需要给出详尽的登录过程,否则漏洞会被忽略
5.POC需要尽可能详细,除了截图外,还需要包含详细的URL、填写明确的文本(尤其是诱导ai所使用的提示词、对话输入)。因POC过于简单导致无法复现的漏洞将会被忽略。
6.对于第三方组件、产品服务导致的漏洞,如果是已公开漏洞,将会被忽略;如果是未公开漏洞,根据漏洞对产品和业务的影响进行独立评估。
7.阶跃星辰及相关公司员工不得参与或通过朋友参与本项目。
8.本项目最终解释权归StepSRC所有。
严正声明
<<< END >>>
想要了解更多企业SRC信息
点击下方图片查看详情
如有任何问题
请联系小莎莎QQ:3459476393
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...